Scribd
Cargar
158 vistas7 páginas

Ciclo de Seguridad e Ingeniería Social

Este documento describe las principales áreas del proceso de seguridad informática, incluyendo el ciclo de vida de la seguridad, las fases del proceso (evaluación, diseño, implementación, administración y capacitación continua), e ingeniería social como la manipulación de usuarios para obtener información confidencial. La ingeniería social incluye técnicas como pretextos, shoulder surfing, phishing, masquerading, baiting, scavening y vishing.

Cargado por

yanaqara
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
158 vistas7 páginas

Ciclo de Seguridad e Ingeniería Social

Este documento describe las principales áreas del proceso de seguridad informática, incluyendo el ciclo de vida de la seguridad, las fases del proceso (evaluación, diseño, implementación, administración y capacitación continua), e ingeniería social como la manipulación de usuarios para obtener información confidencial. La ingeniería social incluye técnicas como pretextos, shoulder surfing, phishing, masquerading, baiting, scavening y vishing.

Cargado por

yanaqara
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

ÁREAS DEL PROCESO DE LA SEGURIDAD INFORMÁTICA

1. CICLO DE VIDA DE SEGURIDAD INFORMATICA


Es un conjunto de fases cuyo objetivo principal es mantener la seguridad informática, están
organizados de tal forma que este ciclo sea continuo.

FUENTE: Sans Institute 2001

2. FASES DEL PROCESO DE SEGURIDAD

2.1. EVALUACION.
Se refiere al análisis que se realiza a la infraestructura deseada (Hardware y software), en
sus entornos internos y externos, este análisis podrá realizarse con distintas herramientas
y metodologías, como por ejemplo en método OCTAVE.

La finalidad es encontrar las debilidades en seguridad informática que puedan estar


inmersas en nuestro sistema.

Ejemplos: auditorías, evaluación de Vulnerabilidades, pruebas de penetración, revisión de


aplicaciones

The Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVESM)


Metodología que define los componentes esenciales de la evaluación de riesgos en
seguridad de manera sistemática y comprensiva. Este método le puede permitir a una
organización tomar decisiones de protección entorno a su información en aspectos tales
como: confiabilidad, integridad, disponibilidad.

2.2. DISEÑO.
Se refiere a la creación de actividades que se debe desarrollar para poder evitar que
sucedan acciones indeseables, estas actividades se convertirán en los controles que se
configurarán en la infraestructura a proteger.
2.3. IMPLEMENTAR.
Es la Ejecución del diseño, desplegar los controles en el sistema que deseamos proteger,
esto bajo las condiciones y políticas creadas en el diseño.

2.4. ADMINISTRACIÓN Y SOPORTE.


Es la gestión que se realiza sobre el sistema de seguridad implementado, controlando el
desarrollo de una acción, suceso o alerta. La gestión se debe realizar siguiendo la
documentación creada (por ej. Políticas de Seguridad, controles, planes, etc).

2.5. CAPACITACIÓN CONTINUA.


Se refiere al hecho que las fases del proceso de seguridad deben de estar constantemente
actualizadas y sobre todo retroalimentadas con nuevas experiencias, habilidades,
conocimientos, etc y que a su vez estas sean retransmitidas.

3. INGENIERÍA SOCIAL

Es la práctica de obtener información confidencial mediante la manipulación de usuarios con


acceso al sistema.

Contra lo que pudiera parecer, el punto más débil en la seguridad de los sistemas informáticos
es el factor humano: suele ser mucho más fácil obtener acceso a un sistema gracias a la
manipulación y el engaño de las personas que mediante ataques informáticos de fuerza bruta.

Recuerda: En cualquier sistema, las personas usuarias siempre son el eslabón más débil.

3.1. TIPOS DE ATAQUE DE INGENIERÍA SOCIAL

a. Hunting: se trata de obtener la información con la menor exposición directa posible, con
el menor contacto personal. Se orientan a la consecución de un dato o acción muy
concreto (una clave, desactivar una configuración).
b. Farming: busca mantener el engaño el mayor tiempo posible, para explorar al máximo
los conocimientos, recursos o posición de la víctima. Recurre a granjas de identidades
previamente robadas para crear falsos perfiles atractivos.
3.2. PRINCIPIOS DE LA INGENIERÍA SOCIAL
Según el famoso hacker Kevin Mitnick, la ingeniería social tiene su base en cuatro
elementales principios:

• Todos queremos ayudar.


• No nos gusta decir No.
• La primera actitud suele ser la de confiar en la otra persona.
• A todas las personas nos gusta ser alabadas.

3.3. TÉCNICAS DE INGENIERÍA SOCIAL

3.3.1. Pretextos.
Se crea un escenario ficticio para que la víctima revele una información que, en
circunstancias normales, no revelaría.

Normalmente la creación de escenarios ficticios requiere una investigación previa de la


víctima para conseguir datos personales sensibles y hacer así más creíble la suplantación
y hacer creer a las víctima que es legítima.

En ocasiones, todo lo que se necesita para crear un escenario pretextual es una voz que
inspire autoridad, un tono serio y capacidad de improvisación.

El atacante puede fingir, por ejemplo, ser una persona empleada de su banco, o el
director o directora de otra sucursal de la empresa y conseguir así datos sensibles.

3.3.2. Shoulder surfing.


Consiste en espiar físicamente a las personas usuarias hasta poder obtener las claves de
acceso al sistema.
El caso típico es el de las personas usuarias que apuntan sus contraseñas de acceso en
un papel junto al monitor o pegadas al teclado.

3.3.3. Phishing (suplantación de personalidad).


El o la atacante se hace pasar por una persona o empresa de confianza, mediante una
comunicación oficial electrónica con apariencia de veracidad (mails, mensajes de
mensajería instantánea, incluso llamadas telefónicas) para hacerse con las contraseñas,
las claves de acceso de la víctima o sus datos bancarios.

La víctima, al confiar en el remitente, envía los datos al atacante.

La identificación de los ataques phishing es compleja si está bien realizada, ya que los
componentes del mensaje enviado son indistinguibles de un mensaje legítimo.

3.3.4. Masquerading (mascarada).


Consiste en suplantar la identidad de una persona usuaria legítima de un sistema
informático, o del entorno del mismo.

Esta suplantación puede realizarse electrónicamente (un usuario o usuaria utiliza para
acceder a una máquina un login y password que no le pertenecen) o en persona.

El masquerading es más habitual en entornos donde existen controles de acceso físico,


y donde un intruso puede `engañar' al dispositivo o persona que realiza el control
Otros ejemplos podrían ser el acceso a un área restringida con una tarjeta de
identificación robada que un lector automatizado acepta, o con un carné falsificado que
un guardia de seguridad da por bueno.

3.3.5. Baiting.
Lo podríamos traducir de forma más o menos libre como cebar, o hacer picar el anzuelo.

Se utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un


software malicioso, dejándolo en un lugar en el cual sea fácil de encontrar (por ejemplo,
baños públicos, ascensores, aceras, etc.) por parte de la víctima o víctimas cuyos datos
precisa el o la atacante. Cuando la víctima encuentre dicho dispositivo y lo introduzca
en su ordenador, el software malicioso se ejecutará de manera inadvertida y posibilitará
que el hacker pueda acceder a los datos del usuario o usuaria.

3.3.6. Scavening (basureo).


Consiste en obtener información dejada en o alrededor de un sistema informático tras
la ejecución de un trabajo.

El basureo puede ser:

• Físico, como buscar en cubos de basura (trashing, traducido también por basureo)
listados de impresión o copias de documentos.
• Lógico, como analizar buffers de impresoras, memoria liberada por procesos, o
bloques de un disco que el sistema acaba de marcar como libres, en busca de
información.

3.3.7. Vishing.
El Vishing (de la uníon de voice + phishing, o suplantación de voz o telefónica) consiste
en ofrecer a la víctima un número de teléfono falso para comunicarse, fingiendo ser el
verdadero, y a continuación obtener datos sensibles como números de tarjetas de
crédito o claves y personas usuarias.
Modus Operandi:

• Se realizan llamadas automatizadas aleatoriamente hasta que alguien contesta.


• Se informa al interlocutor o interlocutora de que su tarjeta de crédito parece estar
siendo utilizada de manera fraudulenta y de que es preciso actualizar o confirmar sus
datos personales.
• Se le facilita un número de teléfono para que realice estas gestiones.
• Al realizar la llamada, escucha al otro lado una grabación idéntica a la de un servicio
de atención telefónica estándar.
• Después, se le solicitan datos sensibles, como números de cuenta, de tarjetas de
crédito, fechas de expiración y claves y nombres de usuario.

Una vez obtenidos estos datos, los o las ciberdelincuentes ya pueden llevar a cabo
operaciones fraudulentas con la tarjeta de la víctima.

La forma más sencilla de evitar el vishing es no ofrecer información sensible sin


comprobar las verdaderas identidades de nuestros interlocutores, y llamar siempre a los
números oficiales que tengamos de nuestras entidades.

REFERENCIAS:

http://revistaentoas.com/seguridad-informatica-factor-humano-ingenieria-social/

https://prezi.com/38p8cjhldc0n/metodologia-de-analisis-de-riesgo-octave/
https://moodle2017-
18.ua.es/moodle/pluginfile.php/80624/mod_resource/content/5/seguridad/pagina_01.htm

https://moodle2017-
18.ua.es/moodle/pluginfile.php/80624/mod_resource/content/5/seguridad/pagina_06.htm

https://issuu.com/giutpl/docs/hacking_desde_cero

https://www.google.com.pe/search?rlz=1C1CHZL_esPE730PE730&biw=1366&bih=637&tbm=i
sch&sa=1&ei=XVjWWvCdB4TbzwKRyqjICw&q=fases+del+proceso+de+seguridad+SEGUN+SANS
+INSTITUTE&oq=fases+del+proceso+de+seguridad+SEGUN+SANS+INSTITUTE&gs_l=psy-
ab.3...191878.212649.0.213344.21.21.0.0.0.0.146.2143.0j18.18.0....0...1c.1.64.psy-
ab..3.1.121...0i24k1.0.IqA4pQD5BEc#imgrc=huR09pnKJHFOqM:

También podría gustarte